指紋識別也玩破解？萬能指紋背后的秘密

技術宅

現在指紋驗證已經成為各大主流手機的標配功能，很多朋友無論是手機登錄還是在線支付都在使用指紋驗證，指紋驗證也是各大廠商標榜的極為安全的生物驗證手段之一（圖1）。不過最近研究人員發現，他們開發了一種名為“萬能指紋”的模擬人類指紋，可以輕松騙過指紋傳感器，實現萬能指紋解鎖。

指紋驗證 背后你不知道的秘密

大家知道，指紋驗證的使用流程是“采集指紋→手機存儲指紋數據→用戶再次按壓指紋→比對指紋數據→完成驗證”。以目前主流的電容式指紋識別技術為例，它是通過給手指皮膚帶電之后，檢測出指紋的紋路（指紋的谷和脊的距離差導致陣列中的不同電容上出現差異），然后通過一定的算法，這樣就可以獲得指紋的采樣數據。而根據科學家的統計，目前世界上指紋數據完全相同的概率是10億分之一，也就是在現實生活中我們幾乎找不到指紋數據完全相同的兩個人。因此從理論上來說，指紋驗證幾乎是不可破解的。那么為什么科研人員開發的萬能指紋可以輕松突破這個看似不可能完成的任務？

問題的硬傷主要出現在手機自帶的傳感器上。大家知道指紋數據的采集主要是借助傳感器實現的，由于現在的手機設計得非常緊湊，內部空間也非常小，因此它的傳感器也較為小巧。以 iPhone 7 Plus指紋識別為例，它的傳感器和Home鍵整合在一起，通過拆解圖片可以看到，即使算上整個Home鍵，傳感器體積也是非常小巧（圖2）。

由于傳感器很小巧，這樣它在獲取用戶指紋數據的時候就不可避免地無法采集到用戶完整的指紋數據。上述基本無法找到完全相同的指紋數據的前提是用戶完整的指紋數據，而手機傳感器的限制正是這類“萬能指紋”模擬器可以突破指紋驗證的關鍵原因。

萬能指紋 它是這樣解鎖的

如上所述，由于手機傳感器只能采集到用戶的部分指紋數據，這樣就為看似安全的指紋識別帶來安全隱患。

首先受制于傳感器面積的限制，同時為了提升識別時的準確率，在使用指紋識別登錄過程中一般手機會要求多次輸入不同角度的指紋片段資料，以便判斷使用者在不同角度時指紋識別是否吻合。指紋識別引擎是用復雜的圖像比對算法進行識別，它并不是比對完整的指紋表面細節，而是以尋找比對相同指紋特征，借此判斷使用者的身份是否正確。

其次為了方便使用指紋識別，很多用戶會主動設置多個指紋數據，比如iPhone可以保存5個指紋數據（圖3）。一方面是手機指紋傳感器只能采集到用戶的部分指紋數據，另一方面則是可以被許可的指紋數據有多個，這樣不可避免的這些碎片化指紋出現匹配錯誤的幾率就大大提高了。萬能指紋正是利用這種匹配錯誤的幾率來實現指紋驗證的破解。

如上所述，手機指紋識別主要是通過對相同指紋特征進行分析識別，因此一些研究者通過對指紋識別技術的學習（借助電腦強大的計算能力和人工智能學習），并通過多數指紋資料比對就可以找出指紋的相同特征，然后制作一組具有這種特征的萬能指紋。這些指紋由于有著和指紋識別的用戶指紋高度相似的特征，從而很容易騙過手機指紋識別引擎實現解鎖。由于手機在多次識別指紋不成功后才需要輸入密碼，研究人員使用五個指頭套上“萬能指紋”的特殊手套，通過這種手套，在使用5個萬能指紋進行測試后，據說幾乎可以解鎖多達40%至50%比例的iPhone（圖4）！

當然廠商們也意識到目前手機指紋識別技術不足，因此很多廠商也正在引入更為先進的手機指紋識別技術。比如超聲波指紋識別技術、日立推出了全新指紋靜脈傳感器VeinID，公司宣稱這套系統的出錯率在0.0001%左右。這些新型、更為先進的指紋識別技術可以讓指紋驗證有更強的安全性（圖5）。

手機安全 任重道遠

加密與反加密始終是一對同步發展的競爭對手，每當廠商研發出一款新的加密驗證技術，市場上就會同步出現相應的破解技術。比如之前曝光的人臉識別，以及現在研發的萬能指紋，讓這些看似安全的生物驗證技術受到前所未有的挑戰。

那么作為用戶應該怎樣更好地保護自己手機的安全？一方面，作為終端用戶，我們不應該迷信單一的技術保護手段，對于涉及到個人隱私、財產的重要操作，盡量增加多種驗證手段。比如對于在線支付，在開啟指紋驗證的同時，建議再加上短信驗證保護。另一方面，作為手機廠商，我們希望他們能夠推出更加安全的身份驗證技術，比如三星已經認為指紋識別并非絕對安全，因此在Galaxy Note 7到Galaxy S8均開始導入虹膜識別系統，并且讓使用者能以此配合移動支付使用，從而可以更好地保護手機的安全（圖6）。